诊断和破解MD5攻击只需简单两步

日期:2009-1-8作者:范臻来源:IT168

MD5   Web   网站   安全证书   PKI   攻击   破解   废除   MD5证书   

  最近,来自Rapid7 的一组国际安全研究员演示了如何成功攻击网络公钥架构(Public Key Infrastructure,PKI)。PKI是利用MD5 Hash函数产生的签名对Web网站安全证书进行认证的一种基础架构。

  值得庆幸的是,该漏洞很容易被诊断出来,破解这种攻击也并不困难:

  这是什么样的攻击?

  HTTPS网站会对访问者的浏览器发送安全证书,以通过身份验证来保证安全链接。安全证书中包含了该网站的主机名称和它的公共密钥,并由认证机构CA签署并加密该安全证书。浏览器则通过自己信任的CA列表对访问网站进行安全验证,检查该CA是否值得信任,从而避免受到钓鱼攻击。

  而在这次特定的袭击中,研究员成功地建立了一个有效的中间CA证书(经过权威CA认证)。然后,他们利用它来生成任意有效的Web站点证书,使它们能够模仿HTTPS网站、监测甚至篡改这些网站。这种攻击可能会影响到使用基于MD5机制所产生的X.509证书的应用软件。黑客们正在准备通过碰撞攻击法(collision attack)来攻击MD5运算法则,然后产生假冒的认证授权中心(Certificate Authority )。

  这次攻击简要概况如下:

  1、攻击者利用MD5中的漏洞创建假冒CA。

  2、攻击者可为某个Web站点创建有效HTTPS证书。

  3、攻击者利用安全证书获得大部分浏览器的信任。

  4、攻击者可以肆意执行基于浏览器攻击并获取终端用户敏感数据。

  就实际情况而言,这意味着谁掌控了假冒CA谁就可以发动中间人式的攻击,并且获得用户的银行帐号信息。其他的攻击还包括篡改发送到安全站点的数据信息以及钓鱼攻击。

  破解攻击步骤:

  在这种情况下,最好的解决办法就是废除所有的MD5证书。简要步骤概述如下:

  保护Web应用程序:

  1、查明任何证书或者使用MD5的证书。特别是要仔细核对TLS/SSL 服务器或者客户端证书,使用Rapid NeXpose 可以扫描该漏洞。

  2、采用SHA-1或者SHA-2而不是MD5验证安全证书。

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

密码管理>更多

  • 密码终结者:FIDO身份验证标准来袭

    很多在线服务无法保护用户密码免受攻击者的攻击威胁,同时,密码作为身份验证方式存在固有弱点,这正迫使政府和IT行业构建可行的长期的替代方案……

  • 交友网站泄露事件过后:关于密码安全的大讨论

    在Friend Finder Network的4亿用户账户泄露事件后,专家开始对密码安全的方方面面进行大讨论……

  • 对企业来说,云端自行加密是可行之道吗?

    服务提供商可在需要的情况下访问加密数据。例如,当服务提供商收到执法部门访问数据的请求时,他们对访问数据并没有技术屏障,尽管数据被加密。同样地,服务提供商在技术或管理保护(密钥管理、过期或密钥访问)方面的缺陷可能会使数据处于风险之中。

  • TeamViewer攻击事件:究竟谁之过?

    过去一个月,用户的抱怨充斥着论坛,他们都在说类似的问题——即TeamViewer账户被攻破。用户指责TeamViewer攻击事件的责任在开发人员,而开发人员则称是用户的失误……

相关推荐

  • SafeNet和Internet2联手保护各大学数字身份

    SafeNet公司和Internet2®日前宣布,他们签署了一份协议,提供SafeNet智能卡和PKI硬令牌,用于PKI身份信息的数据保护存储。

  • 视频讲座:如何防止关键数据泄露

    任何事情的发生都可能导致数据的泄漏,例如有针对性的攻击,丢失的移动终端,或者是错误配置的网络安全设备。

  • 谈谈HASH算法与CSDN密码泄漏事件

    CSDN密码泄漏事件中,网友评论密码的明文保存和MD5保存问题。目前,很多站点都用MD5算法保存密码,但对于HASH(哈希)算法的认识还存在很多误区,有必要重新认识。

  • PacketShaper更新其可视性和管理

    Blue Coat系统公司日前发布其最新的软件插件,以更新其已经连接到云的PacketShaper设备,提高该设备发现、监控评估和控制来自中国和亚洲最新流行应用流量的能力。

技术手册>更多

  • SQL注入攻击

    SQL注入是一种安全漏洞。它是对数据库驱动的应用程序攻击的一个特定类型。在这种攻击中,攻击者操纵网站基于Web的界面,迫使数据库执行不良SQL代码。攻击者可以利用这个安全漏洞向网络表格输入框中添加SQL代码以获得访问权。而今天的SQL注入攻击者查找漏洞的技术更加先进。他们使用各种工具加快开发进程。

  • 主动出击:直面最新的DDoS攻击

    在网络通达的今天,针对企业的DDoS攻击随时都有可能发生。事实上,分布式拒绝服务(DDoS)攻击已不是什么新鲜事了,但是它们现在正变得越来越复杂、更为多样而且愈发频繁。那么面对DDoS攻击,是坐以待毙还是主动出击?决定权在你。

  • 移动安全:从MDM到EMM

    移动设备大量涌入企业催生了一整套全新的技术来解决安全性和合规性的问题。移动设备管理(MDM)最先出现,一度是解决移动安全较好的选择。然而新的安全威胁不断升级,随之出现了更强大和全面的管理方法,其中标志性方法就是企业移动管理(EMM)。

  • Linux服务器安全技巧及工具总结

    Linux的安全性是企业构筑安全应用的重中之重,本技术手册介绍了Linux服务器安全的技巧和工具。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算